Rendi il tuo sito web più sicuro con l'autenticazione a più fattori

Forse sei stanco di memorizzare così tante password diverse e presumi che la tua società di hosting si stia occupando della sicurezza del tuo sito web. Ma ti assicuro: se proteggi e ti prendi cura della sicurezza del tuo sito web, ti salverai da grandi spiacevoli e conseguenze indesiderate. Tieni presente che una violazione della sicurezza sul tuo sito Web non riguarda solo te e la tua attività, ma può anche colpire i tuoi clienti e potresti persino avere problemi legali per non aver adottato le misure di sicurezza appropriate.

Per aiutarti a dormire un po' più facilmente (se è possibile al giorno d'oggi), ti spiegherò come puoi rendere il tuo sito Web WordPress più sicuro con l'autenticazione a più fattori.

Che cos'è l'autenticazione a più fattori (MFA)

Non solo hai visto l'autenticazione a più fattori (MFA) in molti film, ma la usi già per confermare i pagamenti online con la tua carta di credito o accedendo alla tua e-mail, tra gli altri. È un metodo di controllo dell'accesso al computer in cui a una persona viene concesso l'accesso solo dopo aver presentato più di una prova di identità diversa. Queste prove o fattori di autenticazione possono essere diversi:

• Alcuni oggetti fisici che la persona possiede, come una chiavetta USB con un identificatore univoco, una carta di credito, una chiave, ecc.
• Alcuni segreti che la persona conosce, come una password, un pin, ecc.
• Alcune caratteristiche biometriche della persona, come un'impronta digitale, l'iride, la voce, la velocità di digitazione, lo schema dell'intervallo di battitura, ecc.

Il caso della combinazione di due soli fattori è anche noto come "verifica in due passaggi" o "autenticazione a due fattori" o "2FA". E l'idea è che l'autenticazione a più fattori sarà sempre più sicura di un semplice nome utente e password.

Perché dovrei aggiungere MFA al mio sito Web WordPress

Uno dei metodi per decifrare le password è ancora un attacco di forza bruta. Questo attacco consiste, come suggerisce il nome, nel test brutale di possibili combinazioni di utenti e password. Questi tipi di attacchi vengono effettuati dalle botnet utilizzando algoritmi e strumenti sempre più sofisticati.

Molte società di hosting includono già firewall e altri strumenti per prevenire tali attacchi. Tuttavia, ci sono anche altri consigli che possono aiutare a mitigare una violazione della sicurezza, come costringere gli utenti ad aggiungere password complesse o costringerli a cambiarle ogni 3 mesi.

Ma l'aggiunta dell'autenticazione a più fattori al tuo sito Web lo rende sicuro al 100% contro gli attacchi di forza bruta. Quel fattore in più e il passaggio per identificare la persona è scacco matto per questo tipo di bot.

Come implementare la verifica in due passaggi

L'aggiunta di una verifica in due passaggi significa che dovremo aggiungere un ulteriore passaggio di verifica alla normale autenticazione di utente e password. Il modo più semplice è che ogni utente abbia un'applicazione di autenticazione installata sul proprio telefono che visualizzi un codice temporaneo valido solo per pochi secondi e che questo sia quello che deve aggiungere come forma di verifica (oltre alla password ).

Le app mobili più note sono Google Authenticator, Authy, HENNGE OTP, FreeOTP o SoundLogin (in caso di autenticazione audio), tra le altre. Tutti disponibili come app Android e iOS.

Vediamo di seguito come possiamo implementare la verifica in due passaggi con Google Authenticator. Nota che il processo sarebbe molto simile con una qualsiasi delle app di cui sopra.

Autenticatore di Google

Google Authenticator è una semplice app disponibile su Android e iOS e visualizza semplicemente un codice numerico a 6 cifre che cambia ogni 30 secondi. Questo è quello che dovresti usare dopo aver effettuato l'accesso al tuo WordPress o a qualsiasi altro servizio in cui lo stai utilizzando, come il tuo servizio di posta, hosting, cloud, social network, ecc. Per ogni account, vedrai un codice e il tempo rimanente per l'aggiornamento.

Tutte le persone che accederanno al tuo WordPress utilizzando 2FA devono scaricare l'app Google Authenticator sul proprio cellulare per verificare la propria identità con questo sistema.

Installa e attiva un plug-in per 2FA

Sono disponibili diversi plug-in che consentono di eseguire l'autenticazione dell'utente in due passaggi, come Google Authenticator, Wordfence Login Security, Google Authenticator di miniOrange o Two Factor Authentication. Vediamo i passaggi da seguire con il plugin di Google Authenticator.

Innanzitutto, dalla dashboard di WordPress, fai clic sul plug-in "Aggiungi nuovo":

Trova il plugin che vuoi installare, che nel nostro caso è “Google Authenticator”, e clicca su “Installa” e “Attiva:”

Configura il plug-in

Dopo aver attivato il plug-in, avrai la nuova opzione delle impostazioni di Google Authenticator.

Nella finestra di configurazione di Google Authenticator hai la possibilità di indicare se vuoi che siano gli utenti stessi a decidere se utilizzare o meno la doppia autenticazione e quali ruoli desideri che la doppia autenticazione sia abilitata.

Successivamente, nel profilo di ogni utente che ha uno dei ruoli contrassegnati con doppia autenticazione, troverai le opzioni di configurazione di Google Authenticator.

Puoi indicare se l'utente deve avere 2FA abilitato, se l'utente ha bisogno di più tempo per accedere, il nome dell'account visualizzato nell'app installata sul tuo telefono, un codice segreto, mostrare il codice QR e se consentire l'aggiunta di un password nell'app.

Aggiungi l'account configurato all'app mobile

Ora, la prima volta che qualcuno a cui è stato chiesto di accedere con 2FA accede, apparirà la seguente finestra che chiede loro di scansionare il proprio codice QR sul proprio cellulare e confermare il codice generato che vedono nell'app.

Nell'app Google Authenticator sul proprio dispositivo mobile, l'utente deve fare clic sul pulsante "+" in basso a destra nella schermata dell'app per aggiungere un nuovo account, selezionare per scansionare un codice e, dopo aver scansionato il codice mostrato dal tuo sito WordPress , l'installazione sarà pronta.

Ora non resta che inserire il codice che compare nell'app nella schermata iniziale e la configurazione è completa.

La prossima volta che l'utente vorrà accedere al sito, dovrà farlo in due passaggi: prima inserendo il proprio nome utente e password e, successivamente, il proprio codice Google Authenticator.

E questo è tutto! In questo modo avrai doppiamente garantito la sicurezza del tuo sito web.

Conclusione

Mantenere la sicurezza sul tuo sito web implica seguire una serie di best practice per ridurre al minimo il rischio di essere vittima di attacchi. Sebbene proteggersi al 100% sia impossibile, hai già visto che installare una doppia barriera di sicurezza sul tuo sito web è semplice e gratuito , quindi non aspettare di avere un problema quando sai che prevenire è meglio che curare!

Immagine in primo piano di FLY:D su Unsplash.